Mac-Version von Handbrake mit Malware verteilt

Moritz Rosenfeld on May 9, 2017 - 12:42 am in OSS

[ad_1]

Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler am Wochenende in einem Advisory mit. Demnach steckte in dem Download neben Handbrake selbst eine neue Variante der Malware “Proton”, bei der es sich möglicherweise um einen vor einigen Monaten in Cybercrime-Foren gehandelten Schädling gleichen Namens handelt.

Ein Download-Server betroffen, ein anderer nicht

Laut Handbrake-Team hatten Nutzer zwischen dem 2. Mai und dem 6. Mai 2017 eine “50:50-Chance”, sich den infizierten macOS-Download eingefangen zu haben. Ist dieser auf dem Rechner, läuft ein Prozess namens “Activity_agent”, den man mit Hilfe der Aktivitätsanzeige des Betriebssystems auffinden kann. Das Handbrake-Team gab außerdem die SHA1- und SHA256-Checksummen des infizierten Download-Pakets durch. Um diese zu überprüfen, muss man das Dienstprogramm Terminal starten – eine Anleitung mit den notwendigen Kommandos findet sich hier.

Details zur Entfernung von Proton in Handbrake

Eine Entfernungsanleitung für Proton hat das Handbrake-Team ebenfalls veröffentlicht. Auch hier muss man einen Ausflug ins Terminal unternehmen. Die notwendigen Befehle lauten:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner “~/Library/VideoFrameworks/” vorhanden sein und “proton.zip” enthalten, sollte dieser entfernt werden. Anschließend wird HandBrake.app selbst, das infizierte Hauptprogramm, gelöscht. Es liegt im Anwendungsordner.

Entfernung reicht nicht aus

Die Handbrake-Macher warnen davor, dass die Entfernung von Proton allein wahrscheinlich nicht ausreicht. Die Malware könnte Passwörter aus dem macOS-Schlüsselbund sowie den Passwortdatenbanken auf dem System installierten Browser entwendet haben. Die Entwickler empfehlen, “alle” dort vorgehaltenen Passwörter zu ändern – was in vielen Fällen eine große Mühe bedeuten dürfte. Proton erhält Zugriff auf das System, weil das veränderte Handbrake beim ersten Start die Eingabe des Administrationspassworts “zur Installation zusätzlicher Codecs” verlangt.

Apple ist informiert

Apple wurde mittlerweile informiert – der Konzern dürfte seine XProtect-Datenbank, die einen Ausführungsschutz für bekannte Malware darstellt, demnächst ergänzt haben. Infizierte Downloads sollen vom Server “download.handbrake.fr” gekommen sein, die mittlerweile offline genommen wurde. Der Hauptmirror von Handbrake war dagegen laut Handbrake-Team sauber.

Downloads, die mit dem Updater auf den Rechner kamen, der seit Version 1.0 von Handbrake verfügbar ist, sind laut Handbrake-Team ebenfalls nicht betroffen, weil diese mittels DSA-Signatur überprüft und gegebenfalls nicht installiert werden. Wurde der Updater von Version 0.10.5 oder früher genutzt, könnte man sich den Schädling ebenfalls eingefangen haben, weil hier die DSA-Überprüfung im Rahmen der Update-Funktion fehlt. Der Fall erinnert an einen in einer anderen freien App steckenden Schädling. Damals war ein macOS-P2P-Client betroffen: Transmission. (bsc)

[ad_2]